勝手にウイルステスト

Google Chrome フィッシングテストとリダイレクトトラップテスト

2008-09-03T02:31:17Z

Google Chromeのフィッシング保護機能と、Antivirus2009のリダイレクトトラップページをとめることが出来るかどうか簡単にテストしてみました。

尚、フィッシングサイト保護テストにはhttp://www.phishtank.com/の最新トップ3（2008年9月3日午前10時頃の最新情報より）のフィッシングサイトでテストしてみました

注：http://www.phishtank.com/はフィッシングサイトを情報公開されていますが、フィッシングサイトにはページを開くだけでトロイウイルスに感染するサイトもあるので、決して個人は興味本位で見に行かないようにお願いします。

]]> 奥のブラウザがGoogle Chrome、左下FireFox、右下Operaになります。

Operaのみブロックに成功

トップ2のフィッシングサイトテスト。何れのブラウザもブロックに成功

トップ3のフィッシングサイトのテスト結果です。何れのブラウザもブロックに成功。

フィッシング保護機能に付きましては、何れのブラウザも可也対応は早いものと推測します。

次に一番やっかいなリダイレクトトラップをGoogle Chromeでも出現してしまうのかをテスト。

今海外もっとも流行っているアフィリエイトで偽者セキュリティを売りつけるトラップです。特に英文で検索すると以下のトラップサイト出現率が多いです。もしも仮に以下の様なサイトが出現したら、落ち着いて何も作業せずモデムの電源をOFFにしてインターネットからパソコンを切り離し、パソコンを再起動しモデムの電源をONで対処下さい。

まず以下の様に検索結果にあるWEBサイトを開くと、突然Antivirus2009のポップアップ窓が表示されます。次の画像を参照

以下の様にやはりポップアップ窓が表示されてしまいます。一応この時点では悪質なマルウェアには感染しません。

上の続きです。一応FireFoxでも同じトラップサイトを開いてみた結果です。（ここで作業すると悪質なマルウェアに感染する恐れがあります。）うまくブロックできるのかなと期待したのですが、この類のトラップによる保護は如何なるセキュリティも対応出来ない様子です。左奥のブラウザがGoogle Chromeで右下はFireFoxです。

最後に、Google Chromeにも仮想化は存在するものの、システム全部を保護できるSafeSpaceの様な仮想化は存在しません。ブラウザのリストア機能のみの仮想化となるようです。
図の様に、ブラウザツールメニューからシークレットモードを選択する事で仮想化（ブラウザリストア）状態でインターネットを閲覧する事が出来ます。
シークレットモードはブラウザの改変は保護できますが、マルウェアやウイルスが進入した際システムへのダメージは残ります。

Google Chrome 動画系ウイルス感染に要注意

2008-09-03T00:50:58Z

Google Chromeと言うオープンソースの独自オリジナルブラウザの記事を見かけたので、いったいどんなブラウザなのか調べてみました。

非常に軽い便利なタブブラウザで、フィッシング機能にも対応。初心者にも優しいダウンロード補助機能が搭載されています。

ただこのWEBサービス上にあるダウンロード補助機能に思わぬ大きな落とし穴が
（デフォルト設定にもよる。ファイル保存場所を確認設定だと自動でダウンロードはありません）

まず多数のパソコンウイルス対策ソフトで検出が困難な亜種発生率の高いZLOBを入れてくるサイトをFireFoxで開いてみたサンプル画面です。

]]>

一方Google Chromeはデフォルト設定だと自動的にこれらプラグインをダウンロード完了してしまいます。左下にSetup.exeの取得が完了したタスクが表示されている事を確認いただけると思います。

上記自動取得された動画プラグインの様なファイルをVirustotalで検査してみた結果です。
殆どのパソコンウイルス対策ツールが検出できないマルウェアZLOBだと言う事を確認いただけると思います。
http://www.virustotal.com/jp/analisis/b66e5dc23d1f83a48f10038189744bca

一応安全面を保つために、Google Chromeを利用される場合は、必ず以下のオプションから設定変更してご利用いただく事をお勧め致します。

上記の設定で同ZLOB配布サイトを開くと以下のように自動でパソコンウイルスを取得する事はなくなります。（キャンセル可能の為）

くれぐれもGoogleChromeをご利用前に必ず上記の設定確認を行ってからご利用いただく事をお勧め致します。

Internet Explorer 8に仮想化が存在すのか

2008-09-01T11:14:58Z

先日サイト読者様よりIE8のInPrivateモードに仮想化機能が搭載されているのかを確認依頼がありましたので、簡単ながら確認を試行してみた結果です。

結論的になのですがIE8のInPrivateモードには、インターネット閲覧履歴がリストアされる機能のみを搭載となるのではないでしょうか。

例えば、cookie、参照URL、参照ページキャッシュ、検索文字列や入力文字列等のゴミ情報をInPrivateモードブラウザを閉じればリストアされると言うサービスのみ。（新バージョンと言う事で脆弱性コードサイトが悉く出力に失敗してテストになりませんでした。）

セキュリティ面では現在のBetaバージョン上では、SmartScreenFilterによる悪意あるサイトやフィッシングサイト等を検索サイトからリンクを消す機能もしくは直接パス指定してもブロックされる機能が搭載されるのみの様子です。

以下はSmartScreenFilterによりブロックされた悪意あるサイト

]]> 一応悪意あるサイトを幾つかInPrivateとそうでない状態で開いても以下の様にコードもしくは、htmlコードがそのまま出力される状況でした。
結局の所、既存のInternetExplorer向け脆弱性コードが適用できない状態だと推測します。

その他、InPrivateモードでリダイレクトトラップURLを試行。脆弱性対策とはなんら関係有りませんが一応資料と言う事で。

一応簡単ではありますが、ActiveX系トラップも試してみたのですが反応なし？（TaskPatrolでも反応は無し）

テストが不十分かもしれませんが、InPrivateモードは私的に仮想化と言うよりもブラウザ本体のリストア機能（これも仮想化ですが・・）現状確認の術が無い（ゼロデイアタック試行出来ない）のでレビューはここまでという事でご了承頂きたく存じます。

暴露ウイルス体験ツールを試してみた

2008-08-29T00:55:00Z

読者さまより頂いた情報で暴露ウイルス体験ツールと言うウイニーやShareにある暴露ウイルスに感染するとどう言ったファイルがP2P上に流れ出てしまうのかを体験できるツールを試してみました。

貴重な情報とても感謝致します。

実際に私も別のサイトでP2Pをやりたいと願うユーザー様のお手伝いを沢山させて頂いたのですが、パソコンウイルス対策をしていない方がとても多かったです。一応メールマガジン形式でフォロアップは行っていますが、実際問題どう言った懸念があるのか理解頂けていない状況です。

暴露ウイルスに感染するとどんなデータが流出するのか自分のパソコンで体験されてみるのも一つのシュミレーションとして考えるのも良いかもしれません。
]]>
体験ツールの使用許諾書を確認し同意にチェックを入れ圧縮ファイル名表示ボタンを選択

ツールの参照としましては、右上の項目は、もしも感染してしまった場合ウイニーやShare上で公開されるファイル名イメージです。メイン項目で確認できるのは流出するパス名とデータ関連を確認する事が出来ます。

昔のシステムなら（98やMEなら）こうしたウイルスに感染してしまうとフリーズ等のシステム不安定状況に陥り（システム再構築等で）情報流出なんてなかったの思うのですが、近年2000やXPの登場で安定した環境を手にする事が出来ましたが、副作用としてこうした問題と向き合う必要が出てきてしまったのかもしれません。

ZoneAlarm ForceFieldのレビュー

2008-08-27T10:13:27Z

先日も脆弱性対策の決定版と案内させて頂きましたZoneAlarm ForceField

ブラウザの動作領域を仮想化して、外部からのウイルス攻撃から保護出来る新しいセキュリティ製品です。

ただ、残念な事に今回は脆弱性攻撃をしてくるサイトが全滅していたので、変わりに基本的な動作面を検証してみることにしてみました。

脆弱性攻撃に該当するかどうか不明ですが、一件マルウェアを入れてくるサイトでテストできましたので、まずそちらの動作面からご覧下さい。
]]>

以下が上のページを開くと進入してくるマルウェアの検査結果です。
http://www.virustotal.com/jp/analisis/203e1da58bf230d604bb9c4287f0394d

しかも、このマルウェアは全てのユーザーのスタートアッププログラムに登録されてしまいます。もしも家族共有のPCでこの手の攻撃を受けると最悪の結果となってしまします。

以下は上記マルウェアを一旦スーパーアンチスパイウェアで駆除した画面です。（手動でスタートアップから本体も駆除済）
Antivirus2008の文字を見ることが出来ると思います。

上記サイトにあるトラップを確認頂いた上で、以下の動画レポートを参照頂くとテストしている内容を把握いただけると思います。ただ、二個目のリダイレクトトラップにあるAntivirus2009での事故の後、次のマルウェア配布サイトで強制的にレポートを中断しております旨ご了承の程お願い致します。（何らかの理由でAntivirus2009によるネットワーク負荷が増大でまともにテストできなくなった為。）

結論的には、ZoneAlarm ForceField 脆弱性攻撃には非常に強いと思います。（また攻撃サイトを発見できればテストしてみたいと思います。）がマルウェア関連に付きましては保護力を期待出来ません。ベータ版テスト時と変わりなかったです。フィッシングサイトやスパイウェア配布サイトの検出ですが、こちらも現状期待できる性能を発揮する事が出来ないと私的に思ったしだいです。

rootkit入りマルウェアと無料タスク監視ツール（Task Patrol）のレビュー

2008-08-25T00:17:09Z

先日Anti-Virus Nero Advanced Pro. 2008. Download last update! 等と言う聞いた事が無いアンチウイルスの案内メールが届き、一応確認してみた所、やはりマルウェア（Rootkit.SysRest-A入り）だったので少し調べてみました。それから、先日から気になっていたプロセス監視ツールTask Patrolと言うツールに付いても少しどう言った具合でリスクを警告してくれるのかに付いても検証してみましたのでよければご覧下さい。

Task Patrol　スクリーンショット

]]> こちらのレポートにあるツールを使用しました。

該当のメールにあるリンク先を開くと、恐らく用意されたページからアフィリエイトコードによるリダイレクトトラップが実施され、ご覧の通り name.avi.exeと言うファイルをダウンロードさせようとします。もうavi関連のファイルを目にしたらウイルスと警戒した方がいいのかもしれませんね。

Virustotalで上記取得したファイルの検証結果です。
http://www.virustotal.com/jp/analisis/edcfaaf488d7df9c1c78769223d732c5

上記マルウェアを実行させて感染させてみた結果です。壁紙は白背景、スクリーンセーバーはおなじみのブルーバックとWindows再起動を繰り返すスクリーンセーバーになってしまいます。

Task Patrolと言うWindowsのプロセスを監視してパソコンウイルスが動いていないか監視してくれるツールが何か役に立たないか併せて検証してみた結果です。 Task Patrol（フリー） http://www.asmdev.net/products/taskpatrol/index.html 有料版比では大幅に機能は制限されているものの、脅威を目視確認できて便利だと私的に思ったのですがいかがでしょう。以下はTask Patrolでマルウェア感染後の状態をモニタした画面です。 name.avi.exeが動作を開始したことを確認できました。後.tt8.tmpというプロセスも同時に始動

一旦Windowsを再起動してTask Patrolの状態を確認
lphc56fj0end.exe
Estimated Security Risk: Potentially Dangerous
潜在的に危険警告を確認することが出来ました。これなら、パソコンウイルススキャンせずとも何らかの脅威がパソコン内で動いているかどうかの判断を簡単に目視確認する事が出来て便利かもしれません。

次にスーパーアンチスパイウェアで検査及び駆除作業の結果です。

上記スキャン結果の詳細

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/25/2008 at 09:07 AM

Application Version : 4.15.1000

Core Rules Database Version : 3545
Trace Rules Database Version: 1534

Scan type       : Complete Scan
Total Scan Time : 00:07:50

Memory items scanned      : 256
Memory threats detected   : 2
Registry items scanned    : 3522
Registry threats detected : 8
File items scanned        : 9367
File threats detected     : 8

Rogue.Dropper/Gen
    C:\WINDOWS\SYSTEM32\LPHC56FJ0ENDV.EXE
    C:\WINDOWS\SYSTEM32\LPHC56FJ0ENDV.EXE
    [lphc56fj0endv] C:\WINDOWS\SYSTEM32\LPHC56FJ0ENDV.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
    C:\WINDOWS\SYSTEM32\BLPHC56FJ0ENDV.SCR
    C:\WINDOWS\SYSTEM32\BLPHC56FJ0ENDV.SCR
    C:\WINDOWS\Prefetch\BLPHC56FJ0ENDV.SCR-2A6773B3.pf

Trojan.Unclassified/SysRest32
    [sysrest32.exe] C:\WINDOWS\SYSTEM32\SYSREST32.EXE
    C:\WINDOWS\SYSTEM32\SYSREST32.EXE

Rootkit.SysRest-A
    HKLM\System\ControlSet001\Services\sysrest.sys
    C:\WINDOWS\SYSTEM32\SYSREST.SYS
    HKLM\System\ControlSet001\Enum\Root\LEGACY_sysrest.sys
    HKLM\System\ControlSet003\Services\sysrest.sys
    HKLM\System\ControlSet003\Enum\Root\LEGACY_sysrest.sys
    HKLM\System\CurrentControlSet\Services\sysrest.sys
    HKLM\System\CurrentControlSet\Enum\Root\LEGACY_sysrest.sys

Adware.Tracking Cookie
    C:\Documents and Settings\test1\Cookies\test1@www.pstats[1].txt
    C:\Documents and Settings\test1\Cookies\test1@msnportal.112.2o7[1].txt
    C:\Documents and Settings\test1\Cookies\test1@revsci[1].txt

.revsci.net [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.revsci.net [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.revsci.net [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]


.atdmt.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.revsci.net [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.bs.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

.questionmarket.com [ C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cookies.txt ]

SmitFraudFixを完了し正常な状態に戻った際のTask Patrolの画面
Security Risk警告のプロセスは見つかりませんでした。
Task PatrolフリーはリスクをFix（取り除く）サービスは搭載されていないのですが（停止機能は存在します）、パソコンの動作面がやや気がかりな場合や、何もしていないのにモデムのアクセスランプが激しく点滅した際に何かの脅威が動作を開始したのか等簡単に目視確認する事が出来てとても便利かもしれません。

一応最後に、カスペルスキーオンラインスキャンを実行。何らかの駆除漏れがないかを確認。
見つかったウイルス：4
感染したオブジェクト：6
疑わしいオブジェクト：2

SmitfraudFixで誤検出されるファイル関連 4
C:\Documents and Settings\test1\デスクトップ\SmitfraudFix\Reboot.exe 感染: not-a-virus:RiskTool.Win32.Reboot.f スキップ

C:\Documents and Settings\test1\デスクトップ\SmitfraudFix.exe/SmitfraudFix/Reboot.exe 感染: not-a-virus:RiskTool.Win32.Reboot.f スキップ

C:\Documents and Settings\test1\デスクトップ\SmitfraudFix.exe RAR: 感染 - 1 スキップ

C:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ

Windows復元情報に保存されたウイルス 2
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP9\A0002194.sys 感染: Email-Worm.Win32.Zhelatin.vl スキップ

C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP9\A0002196.exe 感染: Trojan-Dropper.Win32.Agent.vvc スキップ

Firefoxの一時キャッシュ 1
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\B45C1883d01    感染: Trojan-Dropper.Win32.Agent.vvc

テスト試行する為に保存していたトロイウイルス　2
C:\Documents and Settings\All Users\Documents\ZBot.zip/WD6128922.exe    疑わしい: Password-protected-EXE    スキップ

C:\Documents and Settings\All Users\Documents\ZBot.zip    ZIP: 疑わしい - 1    スキップ

特に問題なく駆除は完了し、Task Patrolフリーが個人的には使い物になりそうだと言う記事でした

Fedex 物流を語るメールにワードアイコンのマルウェア

2008-08-21T04:31:06Z

またまた新手のタイプのパソコンウイルス出現

本日メールをチェックしてみました所、件名Fedex Tracking N_ 4756893254と言うメールの添えつけファイルにパソコンウイルスが存在しました事を報告致します。

添えつけされている圧縮ファイルを解凍すると、ワードアイコンに化けたウイルス（名称：Trojan:Win32/Zbot.BF）が存在します。ご注意ください。

添えつけファイルのアイコントラップサンプル
検査結果
http://www.virustotal.com/jp/analisis/0a2c9474cf795bbd84f96fda811a8a3d

]]> 件名：Fedex Tracking N_ 4756893254
受信メール内容：Unfortunately we were not able to deliver postal package you sent on August the 1st in time
because the recipient's address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your FEDEX

画面左上Spy Sweeper AVで検出された画面です。
パソコンウイルス名は：EncPK-CZと検出されます。
海外の物流を扱う企業様では注意が必要です。

説明は以上です。尚、このパソコンウイルスを検証してみたいユーザー様はVPNサーバでZbotファイル名で検証いただく事が出来ます。

ウイニーとシャー(WinnyとShare)でパソコンウイルスに感染する原因

2008-08-20T05:07:57Z

ウイニーとシャーをやっているとどうしてパソコンウイルスに感染するのかはレポート中に幾つかピックアップしましたが、別サイトで何処にいったいそう言った原因があるのか詳しく教えて欲しい等の希望がありましたので、動画を使ってレポートしてみました。

]]>
手振れとかつぜつ悪いですが、何か参考になれば幸いです。

P2Pをやっては行けないとは申しませんが、必ずパソコンウイルス対策を施して通信を行って下さい。

導入するパソコンウイルス対策推奨としましては、出来れば何か有事があった際、相談できるプロの方等が存在した方が良いのでトレンドマイクロのウイルスバスターやシマンテックのノートンアンチウイルス製品が望ましい。が、余りコストを掛けたくない等のユーザー様であれば個人であれば無料導入可能であるパソコンウイルス対策製品を導入ください。初めて導入される方は、セットアップ完了の後必ずパソコンやその他ドライブは完全検査をして問題がない事を確認してから運用ください。個人利用無償版パソコンウイルス対策ツール Avast Antivir

AV Comparatives　ESET格上げ Aviraは誤検出が多いので格下げ

2008-08-19T00:41:44Z

Andreas Cleminti's AV Comparatives関連のニュースを見かけたので、少し気になった情報を掲載してみました。（間違えて去年の記事を見て書いてしまった。もうこんなブログどうか見ない様に。汗）

言い訳Googleニュースでマイクロソフトワンケアのニュースを見かけて気になったものでして。なれない事はやっては駄目ですね。すみません。

Cleminti's AV Comparativesは2月2日から5月2日までの3ヶ月間に登場した新種のマルウェア（2万522の新種）検出結果を発表。

一番素晴らしい検出率を叩き出したのは、ESET のNOD32 AntiVirus（国内はキヤノンITソリューションズが取り扱い）は最も高い「+を進めた（Advancedとは明記されていませんが恐らく該当）」をClemintiによってくいを打たれました（Advanced+だと思います）。 NOD32は正しく3カ月間で現れた2万522の新しい脅威の68%を検出

AntiVir PE Premiumは、検出率は高いものの（71％）誤検出が多い為格下げ。同様にFortiClient製品も誤検出が多い為格下げ

]]> BitDefender Professional Plus　48%
TrustPort AV WS　58%
GriSoft AVG Anti-malware 8%
Windows Live OneCare 18%
Symantec Nortn AntiVirus 24% シマンテックのノートンアンチウイルスのみテストした17製品で誤検出なし

記事原文はこちら（computerworld）

上記のテストを行っているAndreas Cleminti's AV Comparatives
http://www.av-comparatives.org/index.html

ブルースクリーンにしてしまうマルウェアの駆除方法

2008-08-16T07:47:44Z

先日こちらの記事でも取り上げました、壁紙とスクリーンセーバーにトラップを仕掛けるマルウェアの駆除が出来たのでご報告させて頂きます。

まずこれらのマルウェアを駆除するのに必要なツール

１、スーパーアンチスパイウェア
２、SmitfraudFix（http://siri.urz.free.fr/Fix/SmitfraudFix.exeを取得ください）
注：カスペルスキーでパソコンウイルスと誤検出されてしまいますが問題ありません
３、F-Secureオンラインスキャン

SmitFraudFix情報を下さった読者様に感謝致します。
]]> まずスーパーアンチスパイウェアをセットアップして、アップデートを実行してください。次にSmitFraudFixを取得完了してください。

スーパーアンチスパイウェアを起動した画面の以下のボタンからアップデートを実行できます

それぞれの作業が完了しましたら、感染しているパソコンをインターネットから切り離してください。モデムの電源OFFまたは、LANケーブルを抜いて下さい。（トロイウイルスによる新たな悪意ある脅威の進入を停止する為です）

次にスーパーアンチスパイウェアでスキャンします。上のメイン画面したの次へのボタンで以下のスキャンオプション画面が出ます。Perform Complete Scanにチェックを入れ次へボタンをクリックするとスキャンを開始します。

検査が完了しましたら、スキャン結果が表示されるのでOKボタンをクリックします。次にもう一度root（再起動）案内の確認画面が出ますので、OKボタンをクリックするとパソコンが再起動され、これら検出された悪意あるファイルは隔離されパソコンから取り除かれます。

以上で通常は作業完了になるのですが、ブルーバックの壁紙とブルースクリーンのスクリーンセーバーのトラブルが今回スーパーアンチスパイウェアではどうにもならないので、SmitFraudFixを使ってこれを修復します
SmitFraudFixの黄色いアイコンをダブルクリックして起動すると図の様に作業画面が表示されます。何か任意のキーを押すとメニュー画面が表示されます。

次に以下の画面で2を入力しEnterキーを押ししばらく待ちます。

駆除が完了すると、一時キャッシュの削除が自動的に開始されます。完了するまで待ちます

次に、続けて同じ画面でレジストリをクリーンにするか問いていますのでyキーを押してEnterキーを押して作業完了まで待ちます。

完了すると、以下の様にレポートが出力されます。

恐らく、これで画面のプロパティを出すと壁紙とスクリーンセーバーのメニュータブが復活できていると思います。任意の壁紙とスクリーンセーバーへ変更してください。それからスクリーンセーバーなんですが、プルダウンメニューを出すと変な英数羅列のスクリーンセーバーがあります。これがブルーバックスクリーントラップのスクリーンセーバーになるので、この名称を控えて、Windowsの検索からファイル名を指定してこのスクリーンセーバーを検索し手動削除されることをお勧めします。（注：ウイルスではないのですが、気持ちがいいものではありませんのんで削除推奨。検索結果に二つファイルが出てくると思いますので二つとも削除してかまいません）

最後に、インターネット接続を回復してF-Secureオンラインスキャンを実行しマルウェア本体を駆除してください。出来るならばその後カスペルスキーオンラインスキャンも実行し、パソコンウイルスをクリア出来た事をご確認願います。

Windowsが故障した様に見せかけるマルウェアの動作

2008-08-15T10:15:32Z

先日IE7ダウンロード案内の偽者メールから配布されるマルウェアに感染すると、antivirus XP 2008を購入させるトラップが存在したと案内させて頂きました。

その驚きのトラップを動画に取って見ました。通常のスクリーンセーバーにブルースクリーンエラーを仕込んでました。初めて見たときは壊れたと思いややあせりました。

これを駆除できるか少々調べてみたのですが、スーパーアンチスパイウェアでは以下のトラップ状態を改善する事が出来ず。確か、サイト読者様の教えて頂いたツールで駆除できたとありましたのでまた時間あるときに調べてみます。

このマルウェアに感染したときのパソコンの状態です。a-squared HiJackFree検査結果です。
http://analyze.hijackfree.com/analyze/?id=108176d7-e276-4db3-ab7b-558bb3005bfb

こちらは。クリーンインストール時のa-squared HiJackFree検査結果

このマルウェアに感染した際の、ブルースクリーンとWindowsXP起動を繰り返すスクリーンセーバの様子。この状態をずっと繰り返し、何か操作するとWindowsデスクトップ画面へ復帰する様子をご覧頂けます。
]]>
スパムメールにmsnbc.com - BREAKING NEWS_ McCain A 'GPS Black Hole' Say Scientistsと言う件名のメール本文にあるリンク先をクリックすると、msnbcの偽サイトが開き、フラッシュプラグインを偽装したマルウェアをダウンロードさせられ感染に至ります。

一応以下のダウンロードしたファイルをVirustotalで検査してみた結果です。
http://www.virustotal.com/jp/analisis/456397642ed0973c76c5ceea4d810538
主要なメーカーのアンチウイルス検査エンジンで検出できるので現状懸念する必要はないかもしれませんが、動画系トラップが異常に多いのでくれぐれもご注意願います。

最近のマルウェア配布サイトは使い捨て

2008-08-14T10:02:22Z

今日毎日入るスパムメールで何か新種のマルウェアは無いか検証していました所、動画プラグインに見せかけた唯の画像トラップサイトを発見。

色々調べているうちに、再度数時間後アクセスするともうサイトは消滅していました。

スパムフィルタによるブロックを懸念しているのかどうか不明ですが、これではマルウェアもぐらたたき状態でベンダー側で確認し辛くなる可能性があります。なので、でてきたマルウェアもぐらを補足すべく皆さんでマルウェア共有をしてみたいと思います。上限15名までですがこちらの方を参照頂いてご連絡頂きましたらVPNネットワークと共有手順を案内させて頂きます。

消滅したマルウェア配布サイト

]]>

マルウェアを実行してみた画面と、その症状。今流行の壁紙系トラップのものでした。
Virustotalでの検査結果です。

ちょっとまって下さい　皆さんPC-AT互換って聞いたこと無い？

2008-08-13T13:10:58Z

先ほど、リカバリとクリーンインストールの違いを記事にさせて頂いたのですが

そこにドライバの話題が出ました。

ふと不思議に思ったのですが、PC-AT互換機を皆様はご利用と言う事はご存知ないのでしょうか？

私のサイトの読者様は熟知して頂いていますが、メーカー製パソコンにマイクロソフト製品版Windowsを適用するとパソコンの機能が一部使用出来なくなるトラブルがある等のお声を頂きました。

ドライバはメーカが用意したCDのなかではなく、汎用性が高いPC-ATなら何れの方法で取得頂いてパソコンへ認識させる事は可能です。

そこで問題です。

デスクトップパソコンで、インターフェースはD-SUBミニ15ピンのモニタを使用
ある日突然画像出力へトラブルが発生。パソコンを再起動すると一時的に改善はあるが、時間が経過するとモニタ画面がやはりちらつく。
そこで、PCメーカーへ症状を問い合わせしたところ、グラフィックチップを修理する必要があるとの解答があった。PCは毎日使うので修理へ出す事は出来ない。

そこでグラフィックチップの代替としてグラフィックカードを用意する事にした。
さて問題です、どういったインターフェースのグラフィックを買えば確実に貴方のパソコンに適用できますでしょうか？
１、PCI-Express
２、AGP
３、PCI
]]>
ヒントはデスクトップで、なになにバスは500％PC-AT互換機に搭載されています。

これがわからなければ、セキュリティを語る前にまずPC-ATの基本を勉強しないといけなくなります。

ジョークウェアですので軽く聞き流してください。すみません。

OSのリカバリとクリーンインストール

2008-08-11T13:27:50Z

リカバリとクリーンインストール

OSのリカバリとクリーンインストールの違い

最近よくきくパソコンウイルス感染時の対処法の一つであるリカバリ案内ですが、製品版OSを持たないメーカー製PCの方はリカバリではパソコンウイルス問題を解決する事が出来ません。

まずリカバリとは、予め用意されているイメージ化データ、例えばメーカ側で用意しているOS再セットアップディスクやご自身でバックアップしているISOデータを用いてパソコンを初期状態やバックアップを取得した日時の状態へ戻す事を意味します。

http://support.microsoft.com/kb/879006/ja

マイクロソフト側の説明にもありとおり、OSを元通りにする作業を指します。

但し、この時多くのメーカー製パソコンではリカバリ作業を簡単にする為にイメージ化したOS（Windows）を、元々パソコンに内蔵されているHDDである、ドライブCと言う領域へのみパソコンを購入した状態へと復元作業を行う事がほとんどです。

例えば、Windows2000以上の方ならマイコンピュータを右クリックして管理を起動し、起動されたディスクの管理を選択してみてください

以下の様にHDD情報を参照する事が出来ます。

]]>

図を参照頂くと、概ねのパソコンにはドライブCと言う領域（パーティション）が存在し、そこへwindows情報がセットアップされています。その他D、Eと同HDD内でパーティションを作成されている事もご覧頂けます。

例えば、一般的なメーカー製パソコンのリカバリ作業のBOOT画面（起動画面）での作業内容

この画面を見て理解できる方は恐らくそう多くは無いと思います。恐らくは大多数の方は既存パーティションを破棄し、パーティション内容を新しく構築する作業等を行わずWindowsの復元のみ行う事がリカバリと言う事になります。

リカバリの動作。ディスクの管理画面でごらん頂くとわかるとおり、WindowsのリカバリはCドライブへのみ行われます。フォーマットを行いクリーンインストールされる事が殆どですが、残りの図にある様にDドライブやEドライブはどうなんでしょう。

実際問題、図のサンプルで言うDドライブやEドライブ等に自己活動式のウイルスが存在した場合どうでしょう。もしもワームが絡んでいたり、システム起動情報のMBR領域へ感染していたら通常リカバリだけではなんら解決にならず、パソコンウイルスは再発し解決には至りません。

また中には、上書きリカバリするタイプのパソコンもあります。
この場合、リカバリしても意味はありません。
必ずまたパソコンウイルスの活動は再発します。

OSのクリーンインストールとは、HDDを一旦全部パーティションを破棄、パーティション再構築。(出来ればシステム領域はなるべく小さく確保し、フォーマット情報含めて全部即時イメージ化バックアップを取りやすくする。XPならCドライブ領域を5GB程度あればセットアップ可能。)
メーカー製のリカバリCDでは出来ない可能性があるので、出来ればOEMで構わないので製品版Windowsを買って対処。そしてクリーンインストールでパソコンウイルスを完全消去する事が出来ます。

外部メディアから、HDDを操作するには一般的にFDDかCDドライブからWindwosとは異なる起動用システムを用います（製品版OSインストールCD等）。もっていない方はXPでもFDDドライブがあれば作る事が出来ます。

カスペルスキーインターネットセキュリティ2009日本語RC版のレポート掲載

2008-08-09T10:28:24Z

次期カスペルスキーインターネットセキュリティ2009日本語RC版のレポートを掲載致しました。

今回テスト内容が非常に薄いですので評価の対象とならないかもしれませんが、一応検出動作面やマルウェア実行時の動作面等を確認いただけると思います。

リンク先URL間違いあり8月10日訂正済

カスペルスキーインターネットセキュリティ2009日本語RC版レポートページ

関連ページ先に英語版をレビューした内容です。
カスペルスキーインターネットセキュリティ2009英語RC版レポートページ
]]> ネットワーク負荷に付きましても軽くなってインターネット接続速度が遅くならない、パソコンウイルススキャン速度が劇的に早くなった等のご連絡も多々頂きます。一つ忘れていたのがスキャン速度がどれ位はやかったのか・・確認を行ってしまいました。